:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c7/9ac7c7e8a3b32a83049dfc945e67b476/0113571100.jpeg "Der Angriff auf Wale mit einer solchen eisernen Harpune ist brutal und sehr blutig; ein Phishing-Angriff mithilfe von Ki ist hinterhältig und gnadenlos - nur nicht so blutig. (Bild: frei lizenziert: FotoArt-Treu)")
:quality(80)/p7i.vogel.de/wcms/59/60/5960c42975dff727adfac6a471bc7428/0114147994.jpeg "Obwohl 90 Prozent der Befragten glauben, dass ihre aktuellen Tools zur Erkennung von Bedrohungen effektiv sind, befürchten 97 Prozent, einen relevanten Sicherheitsvorfall zu verpassen. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/a4/88a4cea0faefd5e74cc9bd5a9fb4ca87/0114037795.jpeg "Wird künstliche Intelligenz zum treuen Partner bei der Verteidigung von Unternehmensnetzen und sensiblen Daten oder zum unbezwingbaren Feind, der alles überrollt? (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/6c/596c4be93de433a4c8df15a6e71a07e1/0113377765.jpeg "Der Lepide Active Directory Auditor hilft auch aktiv dabei, Ransomware-Angriffe schnell zu erkennen und damit schnell reagieren zu können. (Bild: Lepide)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/93/4a/934ad835e86c1eea66869d7d9a59f1f1/0113980249.jpeg ""Integrierte Sicherheit gegen wachsende Cyberbedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Frank Kuypers von Intel Corporation. (Bild: Vogel IT-Medien / Intel / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/09/9d/099d49006288e13bbb864fed5bf6c5be/0113940732.jpeg "Maltego ist ein Data-Mining-Tool mit visueller Graphendarstellung. Das interaktive Werkzeug wird auch von Sicherheitsanalysten und Behörden zur Informationssuche und -darstellung eingesetzt. (Bild: Maltego Technologies)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition DORA | Digital Operational Resilience Act Was ist der Digital Operational Resilience Act (DORA)?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Der Digital Operational Resilience Act ist eine am 16.01.2023 in Kraft getretene EU-Verordnung. Sie soll die digitale operative Widerstandsfähigkeit von EU-Finanzunternehmen und ihren IKT-Drittdienstleistern verbessern und einen EU-weit einheitlichen Aufsichtsrahmen schaffen. Von der Verordnung betroffene Unternehmen und Organisationen haben die Vorgaben binnen einer Frist von 24 Monaten umzusetzen und zu erfüllen.
DORA ist das Akronym für Digital Operational Resilience Act. Es handelt sich um eine am 27.12.2022 im Amtsblatt der EU veröffentlichte Verordnung (EU-Verordnung 2022/2254). Die Langbezeichnung der Verordnung lautet "Digital operational resilience for the financial sector and amending regulations". Im Deutschen bedeutet DORA "Verordnung über die digitale operative Resilienz im Finanzsektor". Die Verordnung ist als verbindlicher und unmittelbar wirkender Rechtsakt am 16.1.2023 in der EU Kraft getreten, ohne dass sie weitere Umsetzungen nationaler Rechtsvorschriften benötigt. Ziel von DORA ist es, die digitale operative Widerstandsfähigkeit von EU-Finanzunternehmen und ihren IKT-Drittdienstleistern zu verbessern und einen EU-weit einheitlichen Aufsichtsrahmen zu schaffen. Die Anfälligkeit für Cyberbedrohungen und IKT-Störungen soll über die gesamte Wertschöpfungskette des Finanzsektors reduziert werden. Von der Verordnung betroffene Unternehmen, Behörden und Organisationen haben bis zum 17.1.2025 Zeit, die Vorgaben umzusetzen und zu erfüllen.
Ziele von DORA
Wichtigstes Ziel von DORA ist es, die digitale operative Widerstandsfähigkeit der Unternehmen des europäischen Finanzsektors inklusive der IKT-Drittdienstleister zur stärken. Entlang der kompletten Wertschöpfungskette des Finanzsektors soll die Anfälligkeit für IKT-Störungen und Cyberbedrohungen reduziert werden. Darüber hinaus ist es Ziel der Verordnung, nationale Vorschriften für die IKT-Sicherheit im Finanzsektor EU-weit zu harmonisieren und einen einheitlichen Aufsichts- und Rechtsrahmen zu schaffen. Der Digital Operational Resilience Act soll sicherstellen, dass Finanzunternehmen, -behörden und -organisationen sowie ihre IKT-Dienstleister auf Bedrohungen und Störungen der IKT angemessen reagieren und negative Auswirkungen minimiert werden.
Inhalt des Digital Operational Resilience Acts
Der Digital Operational Resilience Act umfasst 79 Seiten. DORA greift Anforderungen bestehender Verordnungen zum Beispiel auch nationaler wie der BaFin oder des BSI auf, konkretisiert sie und ergänzt sie um neue Elemente. Im Wesentlichen lassen sich die Anforderungen des Digital Operational Resilience Acts in diese fünf Themengebiete unterteilen:
- Etablierung eines Rahmenwerks für das IKT-Risikomanagement
- Behandlung, Klassifizierung und Berichterstattung von IKT-Vorfällen
- Testen der operativen Widerstandsfähigkeit (Resilience)
- Management des IKT-Drittparteienrisikos
- Schaffung eines Überwachungsrahmens für kritische IKT-Drittdienstleister
Das IKT-Risikomanagement wird mit DORA auf rechtlicher Ebene verankert und ist nicht mehr nur in Verwaltungsvorschriften geregelt. Die Gesamtverantwortung für das Risikomanagement trägt grundsätzlich die Geschäftsleitung des Finanzunternehmens. DORA verpflichtet die Unternehmen, die IKT-Systeme kontinuierlich zu überwachen, zu kontrollieren und auf dem aktuellen Stand zu halten. Es müssen Strategien für die Datensicherung und Wiederherstellungsverfahren definiert und eingerichtet sein. Die Risikodokumente müssen zu internen und externen Prüfung schriftlich vorliegen. Darüber hinaus beschreibt DORA Verfahren zur Klassifizierung von IKT-Vorfällen. Schwerwiegende Vorfälle sind den zuständigen Aufsichtsbehörden zu melden. Dora verpflichtet zudem zur Feststellung und Überprüfung der IT-Sicherheit mittels geeigneter Tests. Systemrelevante Institute haben bezüglich dieser Prüfung höhere Anforderungen zu erfüllen. Ein weiterer wesentlicher Inhalt von DORA ist das Risikomanagement von IKT-Drittdienstleistern. Finanzunternehmen sind verpflichtet, im Rahmen des Risikomanagements auch IKT-Dienstleister zu betrachten. Beispielsweise legt DORA Bestimmungen für Outsourcing- und Dienstleisterverträge hinsichtlich der Überwachungsrechte, Kündigungsrechte und Ausstiegsstrategien fest. Der Digital Operational Resilience Act schafft insbesondere auch einen Überwachungsrahmen für kritische IKT-Drittdienstleister des Finanzsektors mit weitgehenden und detaillierten Befugnissen bei der Überwachung solcher Drittanbieter.
Von DORA betroffene Unternehmen und Organisationen
Vom Digital Operational Resilience Act betroffen sind unter anderem:
- Finanzunternehmen wie Kreditinstitute, Zahlungsdienstleister, Wertpapierfirmen, E-Geld-Institute, Kontoinformationsdienstleister
- Handelsplätze und Datenbereitstellungsdienste
- Versicherungs- und Rückversicherungsunternehmen
- Anbieter von Kryptodienstleistungen
- Transaktions- und Verbriefungsregister
- Ratingagenturen
- Zentralverwahrer
- IKT-Drittdienstleister inklusive Anbieter von Cloud-Computing-Services, Software oder Datenanalyseservices
DORA bietet auf nationaler Ebene die Möglichkeit, für bestimmte Bereiche Ausnahmen des Geltungsbereich zu definieren, beispielsweise im Bereich der Förderinstitute.
(ID:49530965)
:quality(80)/images.vogel.de/vogelonline/bdb/1949400/1949466/original.jpg "Der Cybersecurity Act (CSA) ist ein europäischer Rechtsakt zur Cybersicherheit, der ein Rahmenwerk für Sicherheitszertifizierungen bildet und das Mandat der Cybersicherheitsagentur ENISA stärkt. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1946000/1946093/original.jpg "Ein anspruchsvoller Rechtsrahmen soll in Europa den Schutz des Cyberspace steigern. Die großflächige Abhängigkeit europäischer Firmen von der Versorgung mit kritischen Komponenten aus Drittstaaten erschwert den Erhalt der Konformität. Abhilfe sollen neue legislative Initiativen schaffen. (viperagp - stock.adobe.com)")